Pwn2Own wedstrijd hoogtepunten hernieuwde hacker focus op kernel problemen

Hackers demonstreerden tijdens de Pwn2Own-hackwedstrijd van dit jaar 21 nieuwe kwetsbaarheden in aanvallen op browsers en besturingssystemen. De complexiteit van de exploits laat echter zien dat hackers door veel hoepels moeten springen om volledige systeembeheersing te krijgen.

Op woensdag en donderdag demonstreerden vijf deelnemers - vier teams en één onafhankelijke onderzoeker - drie succesvolle aanvallen op externe code-uitvoering tegen Safari op OS X, twee tegen Microsoft Edge op Windows, vier tegen Adobe Flash op Windows en een gedeeltelijk geslaagde aanval tegen Google Chrome op Windows. Firefox was geen doelwit in de wedstrijd van dit jaar.

De wedstrijd vindt elk jaar plaats tijdens de CanSecWest-beveiligingsconferentie in Vancouver, Canada. De editie van dit jaar werd gesponsord door Trend Micro en Hewlett Packard Enterprise. Deelnemers moesten de externe code uitvoeren op de nieuwste installaties van Windows 10 en OS X El Capitan via op het web gebaseerde aanvallen die voorheen onbekende kwetsbaarheden in de nieuwste versies van Apple Safari, Microsoft Edge, Google Chrome, Flash Player en de besturingssystemen zelf.

[Lees meer: ​​Hoe malware van uw Windows-pc te verwijderen]

Het is niet echt verbazingwekkend dat ervaren beveiligingsonderzoekers in alle browsers kwetsbaarheden hebben gevonden die hen in staat stelden om kwaadwillige code op de gerichte systemen uit te voeren. Dit gebeurt bijna elk jaar bij Pwn2Own.

De complexiteit van de aanvallen viel echter op, sommige met exploitkettingen die gebruik maakten van maximaal vier kwetsbaarheden. Dit is een bewijs van de beveiligingsverbeteringen die browser- en OS-leveranciers de afgelopen jaren hebben aangebracht.

Het is niet langer genoeg om één enkele fout in de browser te vinden om volledige controle over een computer te krijgen wanneer deze een speciaal vervaardigde website bezoekt. Die fout moet worden gecombineerd met andere om de sandbox-beschermingsmechanismen te omzeilen of om code uit te voeren met de hoogst mogelijke rechten - die van de "systeem" -account op Windows of de "root" -account op OS X.

Dit jaar heeft de contest bood een bonus van $ 20.000 voor privilege-escalaties naar "system" of "root" en elke succesvolle aanval nam die bonus, meestal door gebruik te maken van kwetsbaarheden in de OS-kernels.

Van de 21 totale kwetsbaarheden waren er zes in browsers en zes waren in de OS-kernels. De rest zat in Flash Player of OS-componenten en -processen.

De kwetsbaarheid van Google Chrome bleek een duplicaat van een fout die eerder door een onafhankelijke onderzoeker vóór Pwn2Own aan Google was gemeld. Hierdoor werd de Google Chrome-aanval slechts gedeeltelijk bepaald.

"Het is een waarheid in veiligheid dat wanneer u een gebied uithelt, aanvallers en onderzoekers hun aandacht op een ander richten," organiseren de wedstrijdorganisatoren van beveiligingsbedrijf Trend Micro, zei in een blogpost. "Gebaseerd op Pwn2Own 2016, lijkt het erop dat dit gebeurt met een verschuiving naar focus op de kernel."

Deze trend zal waarschijnlijk doorgaan, dus hopelijk zullen OS-leveranciers zich meer richten op de beveiliging van hun kernels, zeiden ze.

De winnaar van de wedstrijd dit jaar was Tencent Security Team Sniper, dat 38 "Master of Pwn" -punten verzamelde en een totale geldprijs van $ 142.500 ontving voor hun heldendaden. Onafhankelijke onderzoeker JungHoon Lee won meer geld - $ 145.000 - maar scoorde minder punten algemeen: 25. Hij behaalde de tweede plaats.

360Vulcan Team van Chinees internetbeveiligingsbedrijf Qihoo 360 kwam op de derde plaats met 25 punten en $ 132.500 en een tweede team van de Chinese internetgigant Tencent - het Tencent Security Team Shield - behaalde de vierde plaats met 10 punten en een prijs van $ 40.000. Tencent Xuanwu, een derde Tencent-team, slaagde er helemaal niet in om te scoren.

De $ 75.000 bounty die dit jaar door sponsors van de wedstrijd op een virtuele machine-escape voor VMware Workstation werd geplaatst, werd niet door een van de deelnemers gewonnen.